Сімейство Trojan.Stoldt.Win32

Trojan.Stoldt.Win32 – сімейство троянських програм, які завантажують шкідливе ПО з Інтернету. Відмітною особливістю сімейства є пакування первинного коду троянської програми різними пакерами і протекторами. Характерне використання комбінації методів -  шифрування та стиснення коду, захист від реверсного аналізу, захист від емуляції. Всі ці методи  дозволяють троянській програмі залишитися непоміченою антивірусами і проникнути на комп'ютер.

Крім того,  використання многократного шифрування суттєво утрудняє наступний аналіз троянських програм в антивірусній лабораторії.
Більшість троянських програм цього сімейства поширюються як патчі і кряки до комп'ютерних ігор. Розповсюдження йде як за допомогою торрент серверів, де вони викладаються разом із іграми, так  і за допомогою сайтів, що поширюють крякі та патчі до ігор.

Після запуску на комп'ютері троянська програма копіює своє тіло в системну папку Windows або в папку Temp.
Приклад:

C:\DOCUME~1\User\LOCALS~1\Temp\haoxy.exe

Після чого реєструється в ключах автозапуску системного реєстру :
Приклад:

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
usbcommonide =  C:\DOCUME~1\User\LOCALS~1\Temp\haoxy.exe

Зареєстровані спроби троянів даного сімейства завантажити шкідливе ПО з віддалених серверів:

http://www.ananwg.com/
www.dagewozhishihunkoufanchininxingxinghaobuyaodawo555555.com
http://www.haoxiaoyao.com/
cnc.haoxiaoyao.com